勒索软件是当今组织面临的最严重的网络安全威胁。 但最近,国家安全局和联邦调查局的领导人都 表示攻击下降 2022 年上半年。对俄罗斯(许多网络犯罪团伙的发源地)的制裁以及加密货币市场的崩溃可能产生了影响,使勒索软件团伙难以提取资金并获得支付。
但是, 我们还没有走出困境. 尽管暂时下降,勒索软件不仅蓬勃发展,而且还在不断发展。 如今,勒索软件即服务 (RaaS) 已经从依赖于预先打包的漏洞利用工具包的商品化、自动化模型发展为人工操作、目标明确且复杂的业务运营。 这就是任何规模的企业都需要关注的原因。
成为 RaaS
众所周知,当今的网络犯罪分子装备精良、积极性高且非常有效。 他们不是偶然的,如果没有持续,他们不会保持如此有效 发展他们的技术和方法. 获得巨额经济利益的动机是唯一不变的。
早期的勒索软件攻击是简单的、技术驱动的攻击。 这些攻击促使人们更加关注备份和恢复功能,这导致攻击者在攻击期间也寻找在线备份并对其进行加密。 攻击者的成功导致了更大的赎金,而更大的赎金要求降低了受害者支付的可能性,而执法部门更有可能参与其中。 勒索软件团伙以勒索作为回应。 他们不仅对数据进行加密,而且还威胁要公开受害者客户或合作伙伴的敏感数据,从而带来更复杂的品牌和声誉损害风险。 今天,勒索软件攻击者寻找受害者的网络保险政策以帮助设定赎金要求并尽可能提高整个过程(包括支付)的效率并不罕见。
我们还看到了不那么严格(但同样具有破坏性)的勒索软件攻击。 例如,反过来选择支付赎金也将受害者确定为未来攻击的可靠对象,从而增加了被相同或不同的勒索软件团伙再次攻击的可能性。 研究估计之间 50%80% (PDF) 支付赎金的组织遭受重复攻击。
随着勒索软件攻击的发展,安全技术也在发展,尤其是在威胁识别和阻止领域。 反网络钓鱼、垃圾邮件过滤器、防病毒和恶意软件检测技术都经过微调,以应对现代威胁,以最大限度地减少通过电子邮件、恶意网站或其他流行攻击媒介进行入侵的威胁。
对手和安全提供商之间众所周知的“猫捉老鼠”游戏提供了更好的防御和复杂的方法来阻止勒索软件攻击,这导致了全球网络犯罪团伙内的更多合作。 就像传统抢劫中使用的保险箱破解者和警报专家一样,恶意软件开发、网络访问和利用方面的专家正在为当今的攻击和攻击提供动力。 为勒索软件的下一次进化创造了条件.
今天的 RaaS 模型
RaaS 已经发展成为一种复杂的、以人为主导的操作,具有复杂的利润分享商业模式。 过去可能独立工作的 RaaS 运营商现在与专家签约以增加成功的机会。
维护特定勒索软件工具、与受害者通信并确保支付安全的 RaaS 运营商现在通常与高级黑客一起工作,后者将自行执行入侵。 在目标环境中拥有一个交互式攻击者可以在攻击期间进行实时决策。 他们一起工作,识别网络中的特定弱点,提升权限,并加密最敏感的数据以确保支付。 此外,他们还进行侦察以查找和删除在线备份并禁用安全工具。 签约黑客通常会与访问代理一起工作,访问代理负责通过被盗的凭证或已经存在的持久性机制提供对网络的访问。
这种专业知识协作所产生的攻击具有“老式”、国家资助的高级持续威胁式攻击的感觉和外观,但更为普遍。
组织如何为自己辩护
新的人工操作的 RaaS 模型比过去的 RaaS 模型更复杂、更有针对性和破坏性,但组织仍然可以遵循最佳实践来保护自己。
组织必须对其安全卫生进行纪律处分。 IT 总是在变化,任何时候添加新端点或更新系统,都有可能引入新的漏洞或风险。 安全团队必须始终专注于安全最佳实践:修补、使用多因素身份验证、强制执行强凭据、扫描暗网以查找受损凭据、培训员工如何发现网络钓鱼尝试等等。 这些 最佳实践有助于减少攻击面 并最大限度地降低访问代理能够利用漏洞进入的风险。 此外,组织的安全卫生越强,分析师在安全运营中心 (SOC) 中进行分类的“噪音”就越少,从而使他们能够在发现威胁时专注于真正的威胁。
除了安全最佳实践之外,组织还必须确保他们拥有先进的威胁检测和响应能力。 由于访问代理花时间在组织的基础设施中执行侦察,安全分析师有机会在早期阶段发现它们并阻止攻击——但前提是他们拥有正确的工具。 组织应寻求扩展检测和响应解决方案,这些解决方案可以跨端点、网络、服务器、电子邮件和云系统以及应用程序检测和交叉关联来自安全事件的遥测数据。 他们还需要能够在任何发现攻击的地方做出响应,以迅速将其关闭。 大型企业可能将这些功能内置到其 SOC 中,而中型组织可能希望考虑使用托管检测和响应模型来进行 24/7 威胁监控和响应。
尽管最近勒索软件攻击有所下降,但安全专业人员不应指望这种威胁会很快消失。 RaaS 将继续发展,最新的调整被新的方法所取代,以响应网络安全创新。 但是,通过将重点放在安全最佳实践与关键威胁预防、检测和响应技术相结合,组织将变得更有弹性来抵御攻击。
